在保护 ArcGIS Enterprise 门户时,务必使门户也在安全环境下运行。 可遵循多种最佳做法,以确保获得最高安全性。
配置电子邮件设置
您可以配置您的组织,以便在忘记密码、更新密码策略等情况下向成员和管理者发送电子邮件通知。 查看电子邮件设置以获取步骤和详细信息。
限制门户的代理功能
在某些情况下会将门户用作代理服务器。 因此,可能会将门户的代理功能误用,从而导致对门户计算机可访问的所有计算机均启动拒绝服务 (DoS) 或服务器端请求伪造 (SSRF) 攻击。 为减少这种潜在漏洞,强烈建议您将门户的代理功能限制为已批准的 web 地址。 有关其他详细信息和完整说明,请参阅限制门户的代理功能。
禁用匿名访问
门户的匿名访问选项可以控制对门户网站的访问权限。 为了防止用户在未预先提供门户凭据的情况下访问门户网站,建议禁用匿名访问。 虽然禁用匿名访问不能阻止匿名用户访问与所有人共享的内容,但可以确保公共用户无法使用门户网站搜索与所有人共享的内容或资源。 要了解如何在 ArcGIS Enterprise 门户中禁用匿名访问,请参阅禁用匿名访问。
配置并信任 CA 签名的 TLS 证书
配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时将避免用户遇到任何浏览器发出的警告或其他异常行为。 在部署期间,您的组织必须提供或生成 TLS 身份证书以供入口控制器使用。 在很多部署配置中,TLS 证书为所有终端用户可见。 也就是说,强烈建议分配至入口控制器的证书由信任的认证中心 (CA) 签名。 如果部署期间生成了自签名的证书,可以在创建组织后导入一个新证书进行替换,并将其分配至入口控制器。
如果签名证书的认证中心是企业或域 CA,并非为知名 CA,则同样需导入该 CA 的公钥证书作为受信任的证书。 这样可确保 ArcGIS Enterprise 能够验证并信任 CA 签名的任何证书。
有关如何导入身分或信任证书的说明,请参阅导入证书。
配置 HTTPS
当您首次配置 ArcGIS Enterprise 部署时,只要执行凭据验证,就会通过 HTTPS 发送用户名和密码。 这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。 默认情况下,门户中的所有通信均使用 HTTPS 进行发送。
通过强制执行仅使用 HTTPS 的通信,您的 Enterprise 门户之外的所有外部通信(如 ArcGIS Server 服务和开放地理空间信息联盟 (OGC) 服务)即受到保护,因为如果 HTTPS 可用,您的门户便只能访问外部 Web 内容。 否则,会阻止外部内容。
然而,在某些情况下,您可能希望在门户中启用 HTTP 和 HTTPS 通信。 要了解如何在 ArcGIS Enterprise 中对所有通信强制执行 HTTP 和 HTTPS,请参阅配置 HTTPS。
禁用非管理 API 目录
可以在管理目录中禁用对 ArcGIS Portal Directory /<context>/sharing/rest 和 ArcGIS REST 服务目录 /<context>/rest/services 的 HTML 访问。 这可减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的门户项目、服务、Web 地图、群组和其他资源的可能性。 禁用对这些目录的访问还可以加强对跨站点脚本 (XSS) 攻击的防护。
是否禁用对这些目录的访问取决于门户的用途以及用户和开发人员依靠其进行浏览的程度。 如果禁用对这些目录的访问,则可能需要可用于门户的项目和服务的可用操作列表或元数据。
有关详细信息,请参阅禁用非管理 API 目录主题。
指定令牌有效期
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。 令牌颁发给成员后,成员可在令牌有效期内访问门户。 如果到期,成员必须重新提供其用户名和密码。
使用 ArcGIS Enterprise 时,每次生成一个新的令牌,都应该指定有效期。 如果不指定,则将使用默认的有效期值。
门户可以使用三种类型的令牌,分别是:ArcGIS 令牌、OAuth access 令牌和 OAuth refresh 令牌。 每种类型都有其默认的有效期值。
这些默认值无法增加,只能通过在 ArcGIS Portal Directory 中设置 maxTokenExpirationMinutes 属性来减少到小于默认值的值。 尽管这些值可能适合您的组织,但是考虑令牌背后的安全隐患很重要。 有效期越长的令牌安全性越低。 例如,被恶意用户拦截的令牌在有效期内仍可使用。 相反,有效期越短越安全,但是使用不方便,因为成员将需要更频繁地输入其用户名和密码。
要更改默认令牌有效期,请执行指定默认令牌有效期中的步骤。